Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Escaneamentos de conformidade

O Rancher pode executar uma verificação de segurança para verificar se um cluster está implantado de acordo com as melhores práticas de segurança definidas nos benchmarks de segurança do Kubernetes, como os fornecidos pelo STIG, BSI ou CIS. Os escaneamentos de conformidade podem ser executados em qualquer cluster Kubernetes, incluindo provedores de Kubernetes hospedados, como EKS, AKS e GKE.

O aplicativo rancher-compliance utiliza kube-bench,, uma ferramenta de código aberto da Aqua Security, para verificar a conformidade dos clusters em relação aos Benchmarks do Kubernetes. Além disso, para gerar um relatório em todo o cluster, o aplicativo utiliza Sonobuoy para agregação de relatórios.

Sobre o Benchmark do CIS

O Center for Internet Security é uma organização sem fins lucrativos 501(c)(3), formada em outubro de 2000, com a missão de "identificar, desenvolver, validar, promover e sustentar soluções de melhores práticas para defesa cibernética e construir e liderar comunidades para permitir um ambiente de confiança no ciberespaço". A organização está sediada em East Greenbush, Nova York, com membros incluindo grandes corporações, agências governamentais e instituições acadêmicas.

Os Benchmarks do CIS são melhores práticas para a configuração segura de um sistema-alvo. Os Benchmarks do CIS são desenvolvidos através dos generosos esforços voluntários de especialistas no assunto, fornecedores de tecnologia, membros da comunidade pública e privada, e a equipe de Desenvolvimento de Benchmarks do CIS.

Inscreva-se no site do CIS para visualizar os documentos oficiais do Benchmark.

Sobre o Relatório Gerado

Cada varredura gera um relatório que pode ser visualizado na interface do Rancher e pode ser baixado em formato CSV.

Por padrão, o CIS Benchmark v1.6 é utilizado.

A versão do Benchmark está incluída no relatório gerado.

O Benchmark fornece recomendações de dois tipos: Automatizadas e Manuais. As recomendações marcadas como Manuais no Benchmark não estão incluídas no relatório gerado.

Alguns testes são designados como "Não Aplicável." Esses testes não serão executados em nenhuma varredura do CIS devido à forma como o Rancher provisiona clusters RKE2/K3s. Para informações sobre como os resultados dos testes podem ser auditados e por que alguns testes são designados como não aplicáveis, consulte o guia de autoavaliação do Rancher para a versão correspondente do Kubernetes.

O relatório contém as seguintes informações:

Coluna no Relatório Descrição

Coluna no Relatório	Descrição
`id`	O número de identificação do CIS Benchmark.
`description`	A descrição do teste do CIS Benchmark.
`remediation`	O que precisa ser corrigido para passar no teste.
`state`	Indica se o teste passou, falhou, foi pulado ou não se aplica.
`node_type`	O papel do nó, que afeta quais testes são executados no nó. Os testes de Master são executados em nós de controle, os testes de etcd são executados em nós de etcd, e os testes de nó são executados nos nós de trabalho.
`audit`	Esta é a verificação de auditoria que `kube-bench` executa para este teste.
`audit_config`	Qualquer configuração aplicável ao script de auditoria.
`test_info`	Informações relacionadas ao teste conforme relatado por `kube-bench`, se houver.
`commands`	Comandos relacionados ao teste conforme relatado por `kube-bench`, se houver.
`config_commands`	Dados de configuração relacionados ao teste conforme relatado por `kube-bench`, se houver.
`actual_value`	O valor real do teste, presente se relatado por `kube-bench`.
`expected_result`	O resultado esperado do teste, presente se relatado por `kube-bench`.

id

O número de identificação do CIS Benchmark.

description

A descrição do teste do CIS Benchmark.

remediation

O que precisa ser corrigido para passar no teste.

state

Indica se o teste passou, falhou, foi pulado ou não se aplica.

node_type

O papel do nó, que afeta quais testes são executados no nó. Os testes de Master são executados em nós de controle, os testes de etcd são executados em nós de etcd, e os testes de nó são executados nos nós de trabalho.

audit

Esta é a verificação de auditoria que kube-bench executa para este teste.

audit_config

Qualquer configuração aplicável ao script de auditoria.

test_info

Informações relacionadas ao teste conforme relatado por kube-bench, se houver.

commands

Comandos relacionados ao teste conforme relatado por kube-bench, se houver.

config_commands

Dados de configuração relacionados ao teste conforme relatado por kube-bench, se houver.

actual_value

O valor real do teste, presente se relatado por kube-bench.

expected_result

O resultado esperado do teste, presente se relatado por kube-bench.

Consulte a tabela no guia de proteção do cluster para informações sobre quais versões do Kubernetes, o Benchmark, Rancher e nosso guia de proteção do cluster correspondem entre si. Consulte também o guia de proteção para arquivos de configuração de clusters compatíveis com CIS e informações sobre como remediar testes falhados.

Perfis de Teste

Os seguintes arquivos de controle de teste estão disponíveis:

CIS Genérico 1.6
CIS Genérico 1.20
CIS Genérico 1.23
RKE2 permissivo 1.6
RKE2 endurecido 1.6
RKE2 permissivo 1.20
RKE2 endurecido 1.20
RKE2 permissivo 1.23
RKE2 endurecido 1.23
K3s permissivo 1.6
K3s endurecido 1.6
K3s permissivo 1.20
K3s endurecido 1.20
K3s permissivo 1.23
K3s endurecido 1.23
AKS
EKS
GKE

Você também tem a capacidade de personalizar um arquivo de controle salvando um conjunto de testes a serem pulados.

Todos os perfis terão um conjunto de testes não aplicáveis que serão pulados durante a varredura CIS. Esses testes não são aplicáveis com base em como um cluster RKE2/K3s gerencia o Kubernetes.

Existem dois tipos de perfis de varredura de cluster RKE2/K3s:

Permissivo: Este perfil possui um conjunto de testes que serão pulados, pois esses testes falharão em um cluster Kubernetes RKE2/K3s padrão. Além da lista de testes pulados, o perfil também não executará os testes não aplicáveis.
Endurecido: Este arquivo de controle não pulará nenhum teste, exceto pelos testes não aplicáveis.

Os arquivos de controle de varredura de cluster EKS e GKE são baseados em versões do CIS Benchmark que são específicas para esses tipos de clusters.

Para passar pelo arquivo de controle 'Endurecido', você precisará seguir os passos no guia de proteção e usar o cluster.yml definido no guia de proteção para provisionar um cluster endurecido.

O arquivo de controle padrão e a versão do benchmark CIS suportada dependem do tipo de cluster que será escaneado:

O rancher-compliance suporta a versão do Benchmark CIS 1.9.

Para clusters Kubernetes RKE2, o arquivo de controle Permissivo 1.9 do RKE2 é o padrão.
EKS e GKE têm seus próprios Benchmarks CIS publicados por kube-bench. Os arquivos de controle de teste correspondentes são usados por padrão para esses clusters.
Para tipos de cluster diferentes de RKE2, EKS e GKE, o arquivo de controle Genérico CIS 1.5 será usado por padrão.

Sobre Testes Ignorados e Não Aplicáveis

Por enquanto, apenas os testes ignorados definidos pelo usuário são marcados como ignorados no relatório gerado.

Quaisquer testes ignorados que são definidos como sendo ignorados por um dos arquivos de controle padrão são marcados como não aplicáveis.

Controle de acesso com base em função

Para informações sobre permissões, consulte esta página

Configuração

Para mais informações sobre como configurar os recursos personalizados para as varreduras, arquivos de controle e versões de benchmark, consulte esta página

Guias de Procedimentos

Por favor, consulte o Guias de Procedimentos de Varredura de Conformidade para aprender como executar varreduras de conformidade.